蠕虫,这个生物学名词于1982年由xeroxparc的johnf.shoeh等人最早引入到计算机领域内,并给出了计算机蠕虫的两个最基本的特征。
判定蠕虫病毒的首要方式,首先,病毒可以从一台计算机移动到另一台计算机,其次,可以通过病毒内部代码进行自我复制。
最初,他们编写蠕虫的目的是做分布式计算的模型试验,可是1988年morris蠕虫爆发后,eugeneh.spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”
计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的,因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段。
蠕虫病毒的传播过程,一,通过扫描,由蠕虫病毒扫描功能模块负责探测存在漏洞的主机,探寻主机后开始进行攻击,二,攻击,攻击模块按照漏洞自动开始进行攻击,基本操作环节包括,主机取得,得到权限,获得shell,第三,处理,被感染的系统,需要进行现场处理工作,主要内容包括自身的隐藏以及信息搜集等等,第四,复制性,复制模块通过原主机和新主机的交互功能,将蠕虫程序复制到新主机内并进行运行,以此达到自我复制的功能。
每一个种类的蠕虫病毒,在实现这四个部分时都会拥有一个特有的侧重点,有的部分实现的较为复杂,有的部分相反相对于简略。
尼梅达病毒是一个比较典型的病毒与蠕虫相结合的蠕虫病毒,它几乎包括了目前所有流行病毒的传播手段,并且可以攻击win操作平台内所有系统。
这款病毒所拥有的传播方式包括,利用oeemail浏览器的漏洞,加载附件程序,伪装进行传播。
通过网络共享的方式,通过局域网进行传播,其次,利用服务器进行传播,服务器传播方式,往往是病毒屡杀不绝的关键原因,该方式最根本的原因,就在于服务器漏洞。
最后一点,通过感染普通文件进行传播,在这一点上,蠕虫与普通的计算机病毒程序基本相同。
蠕虫病毒感染呈现的状况主要包括,网络资源浪费,阻塞网络,被攻击网站不能提供正常的服务,当然,这些也仅仅只是表面的,最大的危险在于,蠕虫病毒会通过修改注册表,使自身会随着系统的启动而运行,将自己加载到资源管理器的进程空间内,后门监听3127端口。
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式,一般为电子邮件(email)以及恶意网页等等。
对于利用电子邮件传播的蠕虫病毒来说,通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。
恶意网页确切地讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。
这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
在刘毅与小雪通话结束后,立刻打开本地系统,准备进行样本病毒提取。
情况紧急,立刻打开浏览器登录到检察院官方网站,紧跟着k系统再次传出危险警告,见此,刘毅下发命令。
“提取当前服务器内所存病毒,保存到虚拟系统内!”
“明白!正在进行病毒样本提取。”
随着回复信息的出现,在这之后差不多能有五分钟左右的时间,样本提出成功。
随着样本病毒提取成功,紧跟着立刻进入到虚拟系统内,准备进行对样本病毒进行分析。
进入到虚拟系统,运行工具,对病毒进行脱壳,去壳的过程较为复杂,但也并不是很困难,差不多半个小时的时间,脱壳成功,开始进行代码分析以及病毒特征分析。
“cherryblossoms!”
经过代码分析,病毒程序内一个英文单词引起了他的注意,看着一长串的字母,刘毅皱紧了眉头。
“博达,帮我查查cherryblossoms是什么意思!”
听到刘毅的话,博达没有多耽误一刻,立刻打开浏览器,输入这一长串字母,紧跟着没过多久,看到了华夏汉字解释信息,博达大声说道:“樱花!”
r国盛产樱花,种类繁多,听到博达的话,刘毅若有所思。
樱花?樱花?
摇了摇头,实在想不出个所以然来。
这可能也就是一个病毒名吧!
在这之后,将病毒加载到进程分析工具后,紧跟着运行病毒,分析工具也因此正式进入运行。
此款工具,为刘毅专门转对蠕虫病毒所自主编译的工具,工具执行内容,主要通过工具进行程序加载,加载结束后,通过进程操作记录,将程序运行后所有操作记录进行记录,得到程序运行结果后,可根据结果,进行专杀的制作。
因为病毒运行处与虚拟系统中,病毒运行后,对于自身主系统并未产生什么影响。
很快,自制进程嗅探工具,将病毒在系统内所有行为全部进行了记录,冰形成文档,发送到本地桌面上。
见分析文件生成,刘毅立刻关闭工具,打开文档。
只见一行行大约百十条释放文件信息出现在文档内。
瞪大眼睛,看着当中这些记录信息,刘毅进入到分析状态当中。
因为文件信息数量巨大,因此,分析过程复杂许多,经过差不多一个多小时的时间,依旧没有任何的突破口,看着记录信息内各样的文件信息,脑海中回忆起自己整个的操作过程。
是根目录!
回忆起自己在这一个小时的时间内所做的一切,可以说,仅仅只是围绕着分析列表内的信息进行着分析,因此,而忘记了根目录的关键信息点。
紧跟着,刘毅立刻进入到虚拟系统内,各个盘符。
打开各个盘的根目录,几个根目录文件信息引起了刘毅的注意。